# Stealth Falcon Backdoor > [!high] Backdoor de Espionagem do APT dos Emirados Árabes Unidos > Stealth Falcon Backdoor (Win32/StealthFalcon) é um malware de espionagem atribuído ao grupo Stealth Falcon (G0038), vinculado aos Emirados Árabes Unidos e ao Project Raven da NSO Group. Usa Windows BITS para exfiltração furtiva e criptografia RC4. Uma variante mais recente, Deadglyph, usa criptografia específica por máquina e componentes modulares. ## Visão Geral O Stealth Falcon Backdoor, catalogado pela MITRE como **S0491**, é o principal instrumento de espionagem do grupo APT [[g0038-stealth-falcon]] (G0038). O grupo está ativo desde pelo menos 2012 e é atribuído com confiança moderada a interesses do governo dos Emirados Árabes Unidos, com vínculos ao Project Raven - uma operação de ciberespionagem contratada que utilizou ex-funcionários da NSA e CIA recrutados por empresas privadas dos Emirados. O backdoor se distingue pelo uso do **Windows BITS (Background Intelligent Transfer Service)** para exfiltração de dados - um mecanismo raramente explorado por malware que torna as transferências práticamente indistinguíveis do tráfego legítimo do Windows Update. O malware coleta informações do sistema via WMI, criptografa os dados com RC4 e os transfere ao servidor C2 via HTTPS. Uma variante mais sofisticada denominada **Deadglyph**, descoberta pela ESET em 2023, usa criptografia específica por máquina para proteger seus componentes principais, tornando amostras impossíveis de analisar sem acesso ao sistema alvo específico. A arquitetura do Deadglyph combina um componente nativo x64 com um componente .NET carregado diretamente do servidor C2. > [!latam] Relevância para o Brasil > O grupo [[g0038-stealth-falcon]] opera primariamente no Oriente Médio com alvos jornalísticos e ativistas políticos. O Brasil sedia organizações de direitos humanos, jornalistas investigativos e dissidentes de múltiplas nacionalidades que poderiam ser de interesse para governos do Golfo Pérsico. Missões diplomáticas de países do Oriente Médio no Brasil também representam superfície de ataque. O [[government|setor governamental]] e de [[technology|mídia]] no Brasil devem considerar o risco de espionagem estatal patrocinada por Estados do Golfo, especialmente dado o alcance global demonstrado pelo Deadglyph. ## Descrição O Stealth Falcon Backdoor, catalogado pela MITRE como **S0491** e identificado pela ESET como **Win32/StealthFalcon**, é o principal instrumento de espionagem do grupo APT **[[g0038-stealth-falcon|Stealth Falcon]]** (G0038). O grupo está ativo desde pelo menos 2012 e é atribuído com confiança moderada a interesses do governo dos **Emirados Árabes Unidos (UAE)**, com vínculos circunstanciais ao **Project Raven** - uma operação de ciberespionagem contratada que operou fora das estruturas legais dos EUA utilizando ex-funcionários da NSA e da CIA contratados por empresas privadas dos Emirados. O backdoor Win32/StealthFalcon foi criado por volta de **2015** e se distingue pelo uso do **Windows Background Intelligent Transfer Service (BITS)** para exfiltração de dados - um mecanismo raramente usado por malware que torna as transferências de dados práticamente indistinguíveis de tráfego legítimo do Windows Update. O malware coleta informações do sistema via WMI (modelo, fabricante, número serial, configurações de rede), criptografa os dados com RC4 (chave hardcoded) e os transfere ao servidor C2 via HTTPS. Após a exfiltração, os arquivos temporários são sobrescritos com dados aleatórios antes da deleção para dificultar a recuperação forense. Uma variante mais sofisticada e recente, denominada **Deadglyph**, foi descoberta pela ESET em 2023. O Deadglyph representa um salto qualitativo: usa **criptografia específica por máquina** para proteger seus componentes principais, tornando as amostras impossíveis de analisar sem acesso ao sistema alvo específico. A arquitetura do Deadglyph combina um componente nativo x64 com um componente .NET, e carrega seus módulos de funcionalidade (criador de processos, leitor de arquivos, coletor de informações) diretamente do servidor C2, em vez de armazená-los localmente. Os alvos documentados do Stealth Falcon incluem jornalistas, ativistas, dissidentes e figuras políticas nos Emirados Árabes Unidos, Arábia Saudita, Tailândia e Reino Unido, além de missões diplomáticas na Holanda. A precisão cirúrgica dos alvos - frequentemente uma única pessoa ou um pequeno grupo - é característica de operações de espionagem estatal em oposição ao cibercrime oportunista. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTPS | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para coleta via WMI e execução de comandos | | Execution | [[t1059-005-visual-basic\|T1059.005]] | VBScript como vetor de infecção inicial | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de dados locais via WMI | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia RC4 hardcoded para tráfego C2 | | Exfiltration | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração de dados para C2 | | Exfiltration | [[t1197-bits-jobs\|T1197]] | Uso de Windows BITS para exfiltração furtiva | | Defense Evasion | [[t1070-indicator-removal\|T1070]] | Sobrescrita de arquivos com dados aleatórios antes de deleção | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema via WMI | | Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Coleta de tabela ARP e configurações de rede | ## Grupos que Usam - [[g0038-stealth-falcon|Stealth Falcon]] (G0038) - único operador documentado, APT atribuído aos Emirados Árabes Unidos ## Detecção - Monitorar **tarefas BITS** (`bitsadmin`, `Start-BitsTransfer`) criadas por processos não relacionados ao Windows Update ou software legítimo - o uso de BITS para exfiltração é altamente anômalo e característica do Stealth Falcon - Alertar para consultas WMI incomuns realizadas por processos fora da linha base corporativa: `Win32_ComputerSystem`, `Win32_NetworkAdapterConfiguration`, `Win32_UserAccount` - padrão de reconhecimento do backdoor - Detectar criação de arquivos temporários seguida de sobrescrita com padrões de dados aleatórios antes da deleção - técnica de anti-forense característica - Implementar monitoramento de **comúnicações HTTPS de processos de sistema** (`svchost.exe`, processos WMI) para endpoints externos não reconhecidos - o Stealth Falcon usa serviços do Windows como cobertura - Para detecção de Deadglyph: alertar para componentes .NET carregados em memória por processos nativos x64 sem arquivo correspondente em disco - arquitetura fileless característica ## Relevância LATAM/Brasil O grupo [[g0038-stealth-falcon|Stealth Falcon]] e seu backdoor operam primariamente no Oriente Médio com alvos de perfil político e jornalístico. A relevância para o Brasil é indireta: o país sedia organizações de direitos humanos, jornalistas investigativos e dissidentes de múltiplas nacionalidades que poderiam ser alvos de interesse para governos do Golfo Pérsico. O Brazil abriga também missões diplomáticas de países do Oriente Médio onde o Stealth Falcon opera. A sofisticação técnica do Deadglyph - especialmente a criptografia por máquina - torna a detecção muito difícil sem telemetria de EDR de alta qualidade. Organizações de [[government|sociedade civil]], jornalismo investigativo e diplomacia no Brasil devem considerar o risco de espionagem estatal patrocinada por Estados do Golfo. ## Referências - [1](https://attack.mitre.org/groups/G0038/) MITRE ATT&CK - G0038 Stealth Falcon (2024) - [2](https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/) ESET - Stealth Falcon Deadglyph Backdoor (2023) - [3](https://securityaffairs.com/91019/apt/stealth-falcon-backdoor-bits.html) Security Affairs - Stealth Falcon BITS Backdoor (2019) - [4](https://citizenlab.ca/research/stealth-falcon/) CitizenLab - Stealth Falcon Research (2016) - [5](https://blog.polyswarm.io/stealth-falcons-deadglyph-backdoor) PolySwarm - Deadglyph Backdoor Analysis (2023)